出海企业美国数据合规要点概览（下）

1. 公司产品客户端层面合规要点

重视产品客户端及官网隐私政策内容的准确性和完整性，不可简单照搬竞品或公司为其它法域起草的隐私政策，而是应当由法务、技术和业务相关人员一起协同，并综合具体的数据处理活动、监管尺度、合规成本等诸多因素，对在美开展业务适用的隐私政策进行开发和迭代。为满足HIPAA等行业特殊法律要求，以及CCPA等较为严格的州数据保护法律的告知义务，企业还可能需要就个人数据收集种类、目的、保存期限、数据主体权利等内容，进行额外的告知。

此外，尽管美国数据保护法律通常不要求就处理个人数据获得用户的事前同意，但就特别敏感的个人数据（如用户地理位置）的收集，企业宜在客户端使用增强提示机制获取用户明示同意。若企业的产品或服务是以美国儿童为主要受众，或具备用户年龄识别机制，则还应特别注意对13岁以下儿童个人信息的处理需符合COPPA下的各项要求，包括但不限于在收集儿童个人信息前采取可被验证的方式确保获取了儿童父母的同意(如让父母签署知情同意书并邮件回复给公司)¹，并提供给儿童父母便捷的撤回上述同意的渠道。

2. 公司数据处理系统和管理制度体系层面合规要点

做好与第三方共享用户数据的合规管理。在开展业务过程中，出海企业通常可能会涉及到与云服务提供商、当地经销商、广告服务提供商、外包客服等第三方主体进行不同种类的用户数据共享。应注意盘点与第三方共享数据的目的、种类、传输方式及安全保护措施，并视具体业务场景及与第三方的主体身份关系，在与第三方的协议当中囊括相应的数据保护条款，包括但不限于，就用户数据处理的保密条款，约定是否可转委托处理用户数据，发生用户数据泄露时及时向企业通知等内容。企业内部宜形成制度化的第三方数据共享管理政策与流程，从而对用户数据共享进行规范化管理。

建立和完善用户个人数据主体权利请求响应制度。首次出海的企业通常容易忽略海外数据保护立法对用户就其个人数据享有的主体权利的相关要求，而事实上随着数据保护立法的普及、监管力度的加大，全球用户的隐私意识普遍得到提升，不完善的用户主体权利响应制度可能导致用户体验下降、投诉增多，甚至引发海外民事诉讼。企业应当在业务开展之初就梳理好各项数据主体权利的适用范围（如用户可具体查阅哪些企业掌握的个人信息字段），并创建业务线的标准化响应流程，配套核实用户身份、响应或拒绝不同主体权利请求的标准话术，组织内部培训，确保客服及后台人员能够充分理解和及时响应用户的具体权利请求。

加强其它保障个人数据处理安全的技术和组织措施。保障个人数据处理安全是所有数据保护法律的普遍和原则性要求，企业可根据自身IT架构及业务特点，加强网络及主机设备安全建设与管理，并在应用层对用户数据综合采取脱敏、加密、操作审计等技术手段进行安全保护；将相关安全策略制度化，形成可落地和反复实施的政策与流程。企业还可适时获取ISO27001等国际化认证对自身数据安全能力进行背书。

3. 在美雇佣员工数据合规

若企业准备在美设立办事处、分支机构或其它任何形式的实体，则还可能涉及到雇佣美国员工的数据合规问题。美国在员工数据保护领域并未形成统一的法律，各种规则散见于多部联邦立法，且员工隐私保护情况可能受到诸如劳动部（Department of Labor, DOL）、公平就业机会委员会（the Equal Employment Opportunity Commission, EEOC）及FTC等多个联邦行政机构的监管。

员工数据保护贯穿于任用前、任用中及雇佣关系解除的全过程。在任用前，若企业需要对候选人进行背景调查并获取相关信息，则应当先就开展背景调查寻求适当的联邦或州法律基础；若想获取候选人的信用信息，则要遵循FCRA下的规则；在任用中，企业通常可出于工作场所安全保障、保护商业秘密、信息系统网络安全等原因，在工作场所及员工用于工作的电子设备进行一定程度的监控，而不同形式的监控可能受制于不同的联邦或州法律，总的来说，监控的合法性取决于被监控的场景是否属于正常的业务范围内，且监控的尺度不至于达到侵犯到员工隐私的程度；在雇佣关系解除后，企业应及时回收员工对公司物理和信息资产的使用及访问权限，并注意妥善保管、谨慎对外提供前任员工的相关工作记录²。

总体来说，美国鼓励个人数据流动，其综合性数据保护立法的严格程度较GDPR更为宽松，但基于个人数据保护立法众多且分散的特点，合规落地工作开展起来较为繁琐。如企业已就出海美国的业务线进行过GDPR或其他法域的合规化调整，则可能仅需有侧重点地排查美国法律的特殊性要求，并进行微调。我们建议出海企业尽早布局在美开展业务的数据合规计划，以便在兼顾合规成本的情况下，最大程度地减轻合规风险。